Hoe lang kunnen datahandelaren op het gebied van kredietbeoordeling en witwasbestrijding nog hun gang gaan? | Equifax beslissing

Datahandelaren die actief zijn op het gebied van witwasbestrijdings- en kredietbeoordelingsinformatie zullen zeer geïnteresseerd zijn in de uitspraak die de Spaanse privacy toezichthouder AEPD op 26 april 2021 heeft gedaan. Op die datum heeft AEPD aan Equifax Iberica een boete van 1 miljoen euro opgelegd wegens overtreding van de AVG.

De Spaanstalige uitspraak is hier (pdf, 184 pagina’s) te vinden.

Die uitspraak kan ik niet lezen, zodat ik op informatie van derden moet afgaan. De uitspraak wordt besproken op GDPRHub waar ook een machinevertaling van de uitspraak is te vinden.

Uit deze bespreking is af te leiden dat de klagers bezwaar maakten tegen het verzamelen van de gegevens uit een Spaans staatsblad en uit diverse uitgaven van oveheidsinstellingen, waarbij sommige informatie onnauwkeurig was of zelfs niets met de klager te maken had. Verder weigerde Equifax de gegevens te verwijderen toen daar om werd verzocht. Equifax meende zich te kunnen beroepen op het gerechtvaardigde belang van haarzelf en haar bedrijfsklanten. Uit het verslag blijkt dat Equifax de betrokkenen niet heeft geïnformeerd over de registratie (iets wat Nederlandse datahandelaren voor zover ik weet ook niet doen), iets wat door AEPD werd aangerekend. Volgens het verslag heeft AEPD voorts geoordeeld dat Equifax het doelbindingsprincipe heeft overtreden en ontbrak een grondslag voor de verwerking van de persoonsgegevens. Het beroep van Equifax op eigen gerechtvaardigd belang en dat van haar klanten, alsmede op het belang van fraudepreventie, slaagde niet. Ook de verplichtingen tot nauwkeurigheid en dataminimalisatie werden niet nageleefd. Equifax kreeg ook het bevel gegevens te verwijderen.

WSJ schreef over de Equifax-uitspraak: Data Scraping in EU Regulators’ Sights As Spain Orders Equifax to Delete Information, 6 mei 2021.

Geschiedenis van datalekken
Equifax kreeg al eerder een AVG-boete, zo blijkt uit een bericht bij DataGuidance en heeft een geschiedenis aan datalekken, waarover ik in 2017 al schreef, zie ook TechCrunch in 2017; in 2018 verschenen berichten bij IT Pro en The Register.

Tijd voor extra maatregelen
Er is alle reden dat de datahandelaars toezichtprioriteit bij de Autoriteit Persoonsgegevens zijn. Waarschijnlijk is dat niet voldoende en is het dringend nodig dat voor hen een gelijksoortig toezichtsysteem als bij banken gaat gelden. Tenslotte zijn gegevens van mensen ‘het nieuwe geld’, zoals sommigen beweren.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, rechtsstaat e.d., ICT, privacy, e-commerce en getagged met , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s